Parece que até as placas de vídeo não estão a salvo dos caprichos da engenharia moderna. A NVIDIA acaba de reforçar suas recomendações de segurança após pesquisadores da Universidade de Toronto demonstrarem que ataques Rowhammer, ameaça que já assombrava CPUs, agora também são viáveis em GPUs com memória GDDR6.
Agravando a situação, o ataque, batizado de GPUHammer, conseguiu reduzir a precisão de um modelo de machine learning de 80% para menos de 1% com um único bit flip.
Para quem não está familiarizado, o Rowhammer é um problema de hardware que permite que um software malicioso altere dados na memória simplesmente acessando certas regiões repetidamente. O nome vem do efeito de “martelar” (hammering) linhas de memória adjacentes até que os bits “virem” de valor.
O resultado pode ser desde simples corrupção de dados até falhas críticas de segurança, como escalonamento de privilégios em sistemas compartilhados. E agora, graças ao GPUHammer, descobrimos que GPUs com GDDR6 também estão vulneráveis.
GPUHammer: a engenharia da destruição
Os pesquisadores da Universidade de Toronto focaram em uma NVIDIA RTX A6000 (com 48 GB de GDDR6) e conseguiram induzir bit flips em todos os quatro bancos de memória testados. O método envolveu três etapas principais:
Engenharia reversa do mapeamento de memória
Diferente das CPUs, GPUs não expõem endereços físicos diretamente ao código do usuário. Os pesquisadores tiveram que usar técnicas de timing attack para descobrir quais endereços virtuais mapeavam para o mesmo banco de memória, maximizando o efeito Rowhammer.
Martelando com paralelismo máximo
Como GPUs são otimizadas para processamento paralelo, os atacantes aproveitaram múltiplas threads e warps (grupos de threads) para saturar o controlador de memória e atingir a taxa de ativação necessária para causar bit flips.
Sincronizando com os refreshes da DRAM
Para burlar proteções internas da memória (como Targeted Row Refresh), o ataque foi cuidadosamente sincronizado com os ciclos de refresh da DRAM, garantindo que as alterações permanecessem mesmo após a correção automática.
O resultado: oito bit flips distintos, suficientes para degradar modelos de IA de forma catastrófica.
Mitigações e recomendações
A boa notícia é que a NVIDIA já tem um antídoto: o System-Level ECC (Error-Correcting Code), que detecta e corrige erros de um único bit. A má notícia? Ele não vem ativado por padrão em todos os modelos.
A empresa divulgou uma lista de GPUs afetadas e recomenda ativar o ECC manualmente em:
- GPUs para Data Center: A100, H100, L40S, etc.
- GPUs para estações de trabalho: RTX A6000, RTX 5000, etc.
- Sistemas embarcados Jetson AGX Orin.
Já as GPUs mais novas, como as da série Blackwell (RTX 50, GB200, B100) e Hopper (H100, H200), possuem On-Die ECC, que funciona automaticamente sem intervenção do usuário.
Nada na vida é de graça, e ativar o ECC tem seu preço. Segundo os pesquisadores, a mitigação pode causar: até 10% de perda de desempenho em inferência de machine learning e a redução de 6,5% na capacidade útil de memória.
Ou seja, é uma troca: mais segurança em troca de um pouco menos de velocidade. Para ambientes críticos, como data centers, parece um negócio ok.
E os gamers? Estão seguros?
A princípio, sim. O GPUHammer foi testado apenas em GPUs profissionais (como a RTX A6000), e não em modelos gamer (como a RTX 3080). Além disso, ataques Rowhammer exigem acesso direto à memória, o que em um PC comum só aconteceria se um malware já estivesse rodando no sistema.
Mas, considerando que placas de vídeo comuns estão cada vez mais usadas para tarefas sensíveis (mineração, renderização, IA local), é bom ficar de olho. Afinal, ninguém quer que seu bitcoin vire bitflip.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!
